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(54) PROCEDE D'IDENTIFICATION A CLE PUBLIQUE. 



(5p procede ^identification d'un premier moyen (le veri- 
fie) a I'aide d'un second moyen (le verificateur). 

Le procede est du type a cle publique, ou I'exposant pu- 
blic est egal a 3. Le verifie tire au hasard deux exposants a 
et x, calcule r = g 3x mod n, et R = g 3a mod n et transmet R 
et r. Le verificateur tire au hasard un nombre e et le transmet 
au verifie. Le verifie calcule y = eoc + x mod n et z = g a S mod 
n et transmet y et z. Le verificateur verifie que g 3y est egal a 
R e r mod n et que z 3 est egal a Rl mod n. 

Application dans la verification de I'authenticite de divers 
supports comme les cartes bancaires. 
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PROCEDE D' IDENTIFICATION A CLE PUBLIQUE 

Domaine technique 

La presente invention se rapporte a un 
procede cryptographique d ' identification, permettant a 
un support quelconque, appele module d ? identite (par 
exemple une carte a memoire, un microprocesseur, un 
ordinateur, etc.), de prouver son identite a des moyens 
mettant en oeuvre une application, ou a un interlocu- 
teur dote de moyens de verification, et ceci grace a un 
protocole mettant en jeu, sans les reveler, un ou des 
secret (s) contenu(s) dans le support. 

Un protocole d 1 identification est done un 
dialogue, a travers un reseau de telecommunications, 
entre deux entites : d'une part, une premiere entite 
qui veut prouver son identite et qui peut etre, le cas 
echeant, equipee d f un terminal, (par exemple un ordina- 
teur dote d'un lecteur de cartes a memoire) et, d' autre 
part, une seconde entite capable de dialoguer avec la 
premiere et de realiser certains calculs de verifica- 
tion . 

La premiere entite, dont on veut verifier 
1' identite, sera appelee par la suite "le verifie" (en 
anglais "the prover") et la seconde "le verif icateur " 
(en anglais "the verifier"). 

La presente invention se rapporte plus par- 
ticulierement a un procede d 1 ident i f icat ion a cle 
publique, dans lequel le verificateur n'a pas besoin de 
connaitre les secrets contenus dans le module d' iden- 
tite du verifie, mais seulement des donnees non confi- 
dentielles (la cle publique) pour effectuer les calculs 
de verification. 



2763452 



2 

L 1 algorithme de chiffrement a cle publique 
dit RSA (des initiales de leurs auteurs RIVEST, SHAMIR, 
ADLEMAN) est decrit dans le brevet americain US-A- 
4,405,829- C'est actuellement 1 1 algorithme a cle publi- 
que le plus utilise. II fournit des schemas de 
signature utilisables egalement a des fins d' identifi- 
cation . 

Dans 1 ' algorithme RSA, on choisit deux nom- 
bres premiers distincts p et q, et on forme leur pro- 
duit n. On choisit egalement un entier e, qui est 
premier avec le plus petit commun multiple de (p-1) et 
(q-1) (ou, si l f on veut, qui est premier avec le pro- 
duit (p-1) (q-1)). Pour chiffrer un message, prealable- 
ment mis sous forme numerique u, u etant compris entre 
0 et n-1, on calcule la puissance e-ieme de u dans 

1 1 anneau des entiers modulo n, soit v = u e mod n. On 

rappelle que la valeur d'un entier x modulo un entier n 
est egale au reste de la division de x par n. 

Pour dechiffrer un message tel que v, il 
faut extraire la racine e-ieme du message chiffre v 
dans 1 1 anneau des entiers modulo n. On montre que cette 
operation revient a elever le nombre v a la puissance 
d, d etant l f inverse de l'exposant e modulo le plus 
petit commun multiple des nombres (p-1) et (q-1). Si 
l'on ne connait pas les facteurs premiers p et q, la 
determination de d est impossible et, avec elle, 1' ope- 
ration de dechif f rement . 

L'une des premieres utilisations pratiques 
du procede RSA a des fins d ' identification a ete la 
suivante : une autorite, responsable de la mise en 
place d'un systeme d' identification, emet une cle 
publique de type RSA, c 1 est-a-dire, en pratique, les 
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deux nombres n et e, cette cle etant commune a tout le 
systeme, et conserve les elements secrets correspon- 
dants (p et q) . Cette autorite depose, dans chaque 
module d'identite des usagers du systeme, le couple 
constitue par : 

- le numero d 1 identification ID du module d'identite ; 

- la racine e-ieme (ou 1 ! inverse de la racine e-ieme), 
modulo n, d f un nombre obtenu a partir du numero ID en 
appliquant a ID une fonction de redondance connue de 
tous (dont un exemple peut etre trouve dans la norme 
ISO 9796) . Cette racine e-ieme (ou son inverse) , cal- 
culee par l'autorite d'emission a l'aide des elements 
secrets qu'elle detient, est appelee "accreditation". 

Les accreditations deposees dans les modu- 
les d'identite peuvent, en premier lieu, etre utilisees 
a des fins d 1 identification passive (c ' est-a-dire ne 
necessitant aucun calcul de la part de celui qui veut 
prouver son identite).Le protocole se reduit alors, 
pour le verif icateur , aux operations suivantes : 

- lire le couple ident ite-accreditat ion contenu dans un 
module d'identite ; 

- calculer la puissance e-ieme de 1 1 accreditation et 
s' assurer que le resultat de ce calcul et 1 ' applica- 
tion de la fonction de redondance au numero d' identi- 
fication ID fournissent bien le meme resultat. 

Un telle identification passive montre au 
verificateur que celui qui veut prouver son identite 
dispose de donnees qui ne peuvent avoir ete emises que 
par l'autorite, ce qui limite, dans une certaine 
mesure, les usurpations d'identite. Mais rien n'inter- 
dit cependant a un pirate capable d ' intercepter le pro- 
tocole verif ie-verif icateur , ou a un verificateur mal- 
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honnete, de reutiliser a son profit les donnees commu- 
niquees par le verifie. 

Malgre ce risque de fraude par reutiiisa- 
tion, 1 ' identification passive decrite ci-dessus est 
largement utilisee dans le domaine bancaire et celui 
des cartes de telecommunication. Des precautions 
supplementaires (listes noires, etc.) limitent dans une 
certaine mesure 1 1 ampleur des fraudes par reutilisa- 
tion . 

Cependant, pour resoudre le probleme de la 
fraude par reutilisation des donnees echangees, pro- 
bleme inherent aux protocoles d ' identification passifs, 
des protocoles d ' identification actifs, c f est-a-dire 
necessitant des calculs de la part de celui qui veut 
prouver son identite, ont ete proposes. Parmi ces pro- 
tocoles figurent non seulement 1 ' utilisation de l'algo- 
rithme RSA pour signer une question aleatoire posee par 
le verif icateur, mais encore des schemas interactifs ou 
le verifie demontre au verificateur qu f il possede une 
ou plusieurs accreditations du type de celles definies 
plus haut, et cela sans reveler cette (ou ces) accredi- 
tation (s). Parmi les schemas de ce type, les plus uti- 
lises actuellement sont le schema de FIAT-SHAMIR et le 
schema de GUILLOU-QUISQUATER . 

Le schema d 1 identification de FIAT-SHAMIR 
est decrit dans le brevet US-A-4 , 748 , 668 . Le schema 
d' identification de GUILLOU et QUISQUATER est decrit 
dans le document FR-A-2 620 248 (ou son cor respondant 
europeen EP-A-0 311 470 ou son correspondant americain 
US-A-5, 218, 637) . 

Ces deux schemas consistent en une ou plu- 
sieurs iterations d f une variante de base a trois passes 
dans laquelle : 
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1. celui qui veut prouver son identite, (le ve- 
rifie) calcule la puissance e-ieme modulo n d ' un 
nombre aleatoire r qu'il a tire, et en deduit un 
nombre x, appele le temoin, qu'il envoie au 
verificateur ; 

2. le verificateur tire au sort un nombre b, 
appele la question, et I 1 envoie au verifie ; 

3. le verifie calcule, par exemple, le produit 
du nombre aleatoire r par la puissance b-ieme de 
son accreditation, soit y = rS b mod n et envoie 
le resultat y au verificateur. 

Le verificateur peut calculer la puissance 
e-ieme de y, et comme il connait la puissance 
e-ieme de 1 ' accreditation S du verifie, il est 
alors capable de verifier la coherence entre x, 
b et y, 

Ces schemas presentent un double avantage 
pour 1 1 identification active : d'une part, si l'on se 
contente d'un niveau d 1 insecurity (defini comme la pro- 
bability maximale de succes d'un fraudeur) de l'ordre 
de 10" 6 , ils sont nettement moins couteux en temps de 
calcul qu 1 une signature RSA ; d' autre part, ces schemas 
sont, du moins dans leur version de base, a divulgation 
nulle de connaissance (en anglais "zero-knowledge"), ce 
qui entraine que les echanges lies a un processus 
d ' identification ne peuvent etre d'aucun secours a un 
fraudeur pour la recherche des accreditations secretes 
d'un utilisateur. 

Deux configurations peuvent etre envisagees 
pour la mise en oeuvre, cote verifie, de schemas 
d ' identification actifs demontrant la possession d'ac- 
creditations du type de ceux qui viennent d'etre expo- 
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ses. Dans une premiere configuration, le module cT iden- 
tity contenant les accreditations possede une puissance 
de calcul suffisante pour realiser tous les calculs de 
son cote. Dans une seconde configuration le module 
d'identite contenant les accreditations n'effectue pas 
les calculs lui-meme mais les fait realiser dans un 
terminal (par exemple un micro-ordinateur capable de 
lire les accreditations dans le module d'identite). 

La seconde configuration, bien qu 1 un peu 
moins sure que la premiere, peut cependant etre utile 
pour ameliorer la securite de la verification de modu- 
les d'identite initialement congus pour une simple 
identification passive. II est necessaire de faire 
confiance au terminal utilise cote verifie, mais sous 
reserve que ce terminal soit integre, aucune fraude 
provenant du reseau ou du verificateur n'est possible. 

Dans la presente invention, on s'interesse 
plus particulierement au probleme de 1 ' utilisation, 
selon la seconde configuration, de supports d'identite 
initialement congus pour une identification passive, 
dans lesquels une unique accreditation correspondant a 
un exposant public e egal a 3 a ete deposee : la 
majeure partie des cartes bancaires franchises, ainsi 
que d'autres supports d'identite (par exemple les 
cartes de telecommunications) sont de ce type. 

Le procede de GUILLOU- QUISQUATER est en 
theorie utilisable par le terminal cote verifie, pour 
demontrer au verificateur la possession de 
1 ' accreditation. Le procede de GUILLOU-QUISQUATER, dans 
ce cas particulier, comprend les operations suivantes : 
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a) deux grands nombres premiers p et q definis- 
sent l'entier n, produit de p par q ; le nombre n 
est rendu public ; 

b) le support de celui qui doit prouver son iden- 
tity contient une accreditation secrete S 
comprise entre 1 et n-1 ; le cube de 1' accredita- 
tion modulo n, c'est-a-dire I = S 3 mod n, est 
rendu public ; 

c) le support du verifie est pourvu de moyens 
aptes a tirer au hasard un entier r compris entre 
1 et n-1, et a calculer le cube de r modulo n, 
appele le temoin x : 

x = r 3 mod n ; 

d) le verifie transmet le temoin x au verifica- 
teur ; 

e) le verificateur tire au sort un entier b infe- 
rieur a l'exposant 3, done egal a 0, 1, ou 2 ; 
cet entier est appele la question ; 

f) le verificateur transmet la question b au 
verifie ; 

g) le verifie calcule le nombre y defini par : 

y = rS b mod n 

h) le verifie transmet ce nombre y au verifica- 
teur ; 

i) le verificateur eleve au cube le nombre y et, 
par ailleurs, calcule le produit du temoin x (qui 
lui a ete transmis) par la puissance b de I (b 
qu'il a tire et I qui est public) ; le verifica- 
teur compare alors y 3 et xl b mod n, s f il y a coin- 
cidence, le verifie a repondu correctement a la 
question et son authenticity est presumee. 

La securite d'un tel schema repose sur 
l'hypothese meme du schema RSA : l'entier n etant 
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public ainsi que l f exposant 3, il est difficile, pour 
un tiers fraudeur, de remonter a r en prenant la racine 
cubique de x, sans connaitre les facteurs p et q, dont 
n est le produit. Ne connaissant pas r, le tiers frau- 
deur ne peut repondre correctement a la question posee 
par le verif icateur . 

Pour un tel procede, ainsi que pour les 
autres schemas d ' identification connus a ce jour, la 
situation ou 1 1 on ne dispose que d f une seule accredita- 
tion correspondant a un exposant public egal a 3 
conduit a des protocoles tres couteux en communica- 
tions. En effet, le niveau de securite d 1 un echange de 
base (temoin, question, reponse) que 1 1 on peut realiser 
dans les conditions citees est inferieur ou egal a 3 
pour le schema de GUILLOU-QUISQUATER . Pour parvenir a 
un niveau de securite convenable (insecurity inferieure 
a 2~ 16 ) , il faut done repeter 1 1 echange de base au moins 
une dizaine de fois, ce qui conduit a multiplier le 
nombre de bits a echanger entre verifie et verificateur 
par un facteur de dix au moins. 

Le but de la presente invention est juste- 
ment de remedier a cet inconvenient. II s'agit de 
proposer un schema, a la fois realiste en temps de 
calcul et moins couteux en nombre de bits echanges, 
permettant de demontrer la possession d 1 une accredita- 
tion correspondant a un exposant public egal a 3, sans 
la reveler. 

Expose de 1 ' invention 

Le procede de l f invention est fonde sur 
l'hypothese selon laqueile, pour tout entier n, si l'on 
connait deux nombres g et y compris entre 0 et n-1, il 
est difficile de calculer a, s'il existe, tel que : 
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y = g a mod n. 

Sous cette hypothese, l f invention se defi- 
nit comme suit il s'agit d 1 un procede d ' identification 
d'un support appele M le verifie", par des moyens appe- 
les "le verif icateur" , ce support et ces moyens etant 
equipes de moyens de calcul et de memorisation appro- 
pries, le verifie et le verificateur possedant en 
commun : 

- un nombre entier n, produit de deux nombres 
premiers (p, q) , 

- un nombre X qui est le plus petit facteur premier 
impair de (p-l)(q-l), 

- un nombre k, parametre de securite inferieur a X, 

- un nombre entier g compris entre 2 et n-1 et 
d f ordre X, 

le verifie possedant en outre un nombre secret S egal a 
g v mod n, ou v est un nombre secret, le secret S defi- 

nissant l'identite du verifie, le verificateur ayant en 
outre connaissance de la puissance 3 modulo n de ce 
secret, soit I = S 3 mod n, 

procede dans lequel le verifie et le verificateur 
mettent en oeuvre leurs moyens de calcul et de memori- 
sation pour effectuer les operations successives 
suivantes : 

Phase A / le verifie : 

Aa) tire au hasard un premier exposant a entier 
compris entre 0 et X-l, 

Ab) tire au hasard un second exposant x entier 
compris entre 0 et X-l, 
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Ac) calcule un nombre r egal a la puissance 3x du 
nombre g modulo n, soit : 

3x . 
r = g mod n 

Ad) calcule un nombre R egal a la puissance 3a du 
nombre g modulo n, soit : 

3a 

R = g mod n, 

Ae) transmet les nombres r et R au verificateur, 
Phase B ; le verificateur : 

Ba) tire au hasard un nombre e entier compris 
entre 0 et X-l, 

Bb) transmet au verifie le nombre e, 
Phase C ; le verifie : 

Ca) calcule un nombre y egal a ea + x modulo X, 
Cb) calcule un nombre z egal a g a S modulo n, 

Cc) transmet les nombres y et z au verificateur, 
Phase D ; le verificateur : 

Da) calcule le produit de R e par r modulo n et la 

puissance y de g 3 , soit g 3y , et verifie si les 

deux resultats sont egaux, c'est-a-dire : 

? 

g 3y = R e r mod n, 

Db) calcule le produit de R par I'identite publi- 
que I et le cube de z et verifie si les deux 
resultats obtenus sont egaux, c'est-a-dire : 

? 

z 3 = RI mod n, 

1 1 identification du verifie par le verificateur etant 
acquise si les deux verifications Da) Db) sont averees. 
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Le nombre X doit etre suffisamment grand. 
Le nombre k peut etre par exemple de l'ordre de 2 pour 
une insecurity inferieure a 2" 19 . 

5 Le tableau ci-dessous resume les differen- 

tes operations. 

TABLEAU I 

Verif ie Verif icateur 



0 


n, k, g, I, k n, k, g, I 


A 


S = g v mod n 
a < X 
x < X 

r = g 3x mod n 
R 2 - g 3a mod n 


B 


e 

< e < k 


C 


y = ea + x mod k 

z = g a S mod n — y ' Z > 


D 


? 

g 3y = R e r mod n 

7 

z 3 = RI mod n 



10 La bande horizontale marquee 0 indique les 

donnees connues des deux entites, a savoir, le nombre 
n, le nombre k, le nombre g, et le cube du secret, soit 
I . 

La bande horizontale A rassemble les pre- 
15 mieres operations effectuees par le verifie (operations 
Aa a Ae dans la definition precedente) . 
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La bande horizontale B montre 1' operation 
suivante effectuee par le verif icateur . 

La bande horizontale C rassemble les opera- 
tion effectuees a nouveau par le verifie (operations 
Ca, Cc) 

La bande horizontale D, enfin, rassemble 
les deux dernieres operation effectuees par le verifi- 
cateur . 

Un tel procede permet bien de verifier 
1 ' authenticity d'un possesseur d 1 accreditation . En 
effet, si le verifie connait le secret S il pourra 
repondre correctement a la question posee par le veri- 
f icateur puisqu'il pourra calculer la quantite z = g a S 
mod n . 

Reciproquement , pour etre accepte, le veri- 
fie doit permettre la verification des deux equations 
Da, Db. Supposons qu'il soit capable de les satisfaire 
avec une probability superieure a 2/k. Cela signifie 
que, apres s'etre engage avec R et r, le verifie sait 
repondre a au moins deux questions e et e 1 differentes 
modulo 2. Soient (y,z) et (y',z') les reponses 
respectives. Alors, r = g 3y R~ e = g 3y ' R~ e? mod n et z 3 = 
z' 3 = RI mod n. Par consequent, z = z f et (g y ~ y ) 3 = R e ~ e ' 
mod n. Ainsi, comme X est premier et superieur a e-e', 
l'egalite de Bezout fournit u et w tels que uX + 
w(e-e') = 1. Alors, (g y ' y ') 3w = R w < e - e '> = R.R- uX mod n. 
Comme e-e 1 est impair et inferieur a X, le plus petit 
facteur impair de (p-l)(q-l), alors e-e', admet un 
inverse, f modulo (p-1) (q-1). Par consequent, 
R = (g (y_y ') 3f mod n. Or, g est d'ordre X, done R x = 1 mod 
n. Ce qui entraine, R = (g w(y_y ') 3 mod n. Par suite, 
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I = (zg" w(y - y,) ) 3 mod n. 
Le verifie doit done necessairement etre en 
possession de 1 ' accreditation S, racine cubique de I. 

5 On peut voir egalement que meme un malfai- 

teur utiiisant toutes les techniques frauduleuses 
imaginables ne pourra obtenir une quelconque informa- 
tion sur 1 1 accreditation du verifie, et done se faire 
ensuite passer pour lui. 

10 En effet, ce protocole est a divulgation 

nulle de connaissance . II est done possible de simuler 
une interaction entre le verifie et n'importe quel 
verif icateur , sans connaitre le secret S. Soit a la 
strategie, aleatoire ou non, d'un verif icateur . C'est 

15 une fonction qui prend en entree un couple (R,r), et 
retourne une question e. Le simulateur : 

1. choisit e compris entre 0 et k-l, ainsi que y et t 
compris entre 0 et k-l, 

2. calcule z = q l mod n, R = z 3 !** 1 mod n et r = g 3y R" e 
2 0 mod n, 

3. interroge la strategie du verifieur : e = o(R,r), 

4. si e = e, on retourne a 1' operation 1, sinon le 
simulateur ecrit (R,r,e,y,z). 

Le procede defini est done sur, meme face a 
25 des attaques actives. II est a divulgation nulle de 

connaissance avec une probability d ' accepta t ion d'un 
tricheur inferieure a 2/k apres une iteration. 
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REVENDI CAT IONS 

1. Procede d ' identification d'un support 
appele M le verifie", par des moyens appeles "le verifi- 
cateur", ce support et ces moyens etant equipes de 
moyens de calcul et de memorisation appropries, le 
verifie et le verif icateur possedant en commun : 

- un nombre entier n, produit de deux nombres pre- 
miers (p,q), 

- un nombre X qui est le plus petit facteur premier 
impair de (p-1) (q-1), 

- un nombre k, parametre de securite inferieur a X, 

- un nombre entier g compris entre 2 et n-1 et 
d'ordre X r 

le verifie possedant en outre un nombre secret S egal a 

g v mod n, oil v est un nombre secret, le secret S defi- 

nissant l'identite du verifie, le verif icateur ayant en 
outre connaissance de la puissance 3 modulo n de ce 

secret, soit I = S 3 mod n, 

procede dans lequel le verifie et le verificateur 
mettent en oeuvre leurs moyens de calcul et de memori- 
sation pour effectuer les operations successives 
suivantes : 

Phase A ; le verifie : 

Aa) tire au hasard un premier exposant a entier 
compris entre 0 et A.-1, 

Ab) tire au hasard un second exposant x entier 
compris entre 0 et A.-1, 

Ac) calcule un nombre r egal a la puissance 3x du 
nombre g modulo n, soit : 
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3x , 
r = g mod n 

Ad) calcule un nombre R egal a la puissance 3a du 
nombre g modulo n, soit : 

3a 

R = g mod n, 

Ae) transmet les nombres r et R au verif icateur , 
Phase B ; le verificateur : 

Ba) tire au hasard un nombre e entier compris 
entre 0 et 

Bb) transmet au verifie le nombre e, 
Phase C ; le verifie : 

Ca) calcule un nombre y egal a ea + x modulo X, 

Cb) calcule un nombre z egal a g a S modulo n, 

Cc) transmet les nombres y et z au verificateur. 
Phase D ; le verificateur : 

Da) calcule le produit de R e par r modulo n et la 

puissance y de g 3 , soit g 3y , et verifie si les 

deux resultats sont egaux, c'est-a-dire : 

? 

g 3y = R e r mod n, 

Db) calcule le produit de R par l'identite publi- 
que I et le cube de z et verifie si les deux 
resultats obtenus sont egaux, c f est-a-dire : 

? 

z = RI mod n, 

1 f identification du verifie par le verificateur etant 
acquise si les deux verifications Da) Db) sont averees. 

2. Procede selon la revendication 1, dans 
lequel le support du verifie est une carte a memoire. 
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